Gérer la fin de vie des terminaux mobiles en entreprise
Lorsque les constructeurs arrêtent de fournir des correctifs de sécurité pour leurs appareils, les données d’entreprise sont menacées. L’expert Michael Cobb se penche sur la manière de gérer cette fin de vie, y compris pour les terminaux personnels des utilisateurs.
La décision de Google, début 2015, de cesser de fournir des correctifs pour WebView a provoqué une certaine controverse et laissé de nombreuses organisations avec des préoccupations, non seulement pour la sécurité de leurs programmes de BYOD, mais également pour la gestion de la fin de vie des terminaux mobiles. Mais les entreprises peuvent contrôler les risques associés, et empêcher d’autres situations comparables futures de constituer des problèmes.
WebView : ce que la fin des correctifs signifie
WebView est un composant clé d’Android qui aide au rendu des contenus Web. Il utilise le moteur WebKit et accélère l’accès au contenu Web en évitant aux applications de devoir exécuter un navigateur Web complet.
Le WebView d’origine a été remplacé dans Android KitKat 4.4 par une nouvelle version plus sécurisée basée sur Chromium. De quoi indiquer l’arrêt de la fourniture de correctifs de sécurité pour les versions plus anciennes, à savoir jusqu’à Android Jelly Bean 4.3.
Google a expliqué qu’il estimait difficile de maintenir en toute sécurité une branche vieillissante de WebKit. L’argument peut paraître raisonnable… jusqu’à ce que l’on réalise qu’une part encore importante des terminaux Android fonctionne sous Jelly Bean, voire des versions plus anciennes d’Android. Le kit Metasploit intègre en outre plusieurs exploits pour WebView, certaines pouvant conduire à la compromission du système de stockage pseudo-SD, et d’autres données. Alors que des correctifs s’avèrent peu probables, les vulnérabilités correspondantes pourraient constituent des vecteurs d’attaque persistants.
Certains commentateurs n’ont pas manqué de faire le parallèle avec l’arrêt du support de Windows XP par Microsoft, alors même que des millions d’ordinateurs continuaient de l’utiliser. Mais il y a une différence de taille : Microsoft avance des dates de fin de commercialisation et de fin de vie claires pour ses produits. Les utilisateurs de Windows XP ont eu de nombreuses années pour planifier sa fin de vie. Google ne communique pas de politique comparable pour Android – ni même Apple pour iOS. Utilisateurs et entreprises ne savent pas quand appareils et logiciels qu’ils exécutent vont soudainement cesser d’être supportés.
Gérer la fin de vie des produits mobiles
Le système d’exploitation Android est ouvert. Les chercheurs en sécurité, constructeurs de terminaux ou opérateurs pourraient donc développer des correctifs pour des failles inédites ou connues de versions vulnérables de WebView. Mais ce scénario est improbable, compte tenu de la diversité des appareils utilisés dans un environnement BYOD. Google continuera d’accepter des correctifs proposés au projet pour les versions anciennes d’Android, mais ceux qui ne viennent pas de lui ont peu de chances d’aboutir sur les appareils les plus âgés, compte tenu des ressources nécessaires à la mise en œuvre des correctifs, et du rôle clé des constructeurs et des opérateurs pour leur distribution.
Le plus sûr, pour les utilisateurs de terminaux exposés aux vulnérabilités du WebView antérieur à KitKat est de passer à une version plus récente d’Android. Mais pour beaucoup, ce peut être une opération coûteuse. Il est également possible d’installer la dernière version de Chrome ou de Firefox et de la définir comme navigateur par défaut. Exiger cela avant de permettre l’accès aux ressources de l’entreprise peut aider à résoudre le problème à court terme. Mais cela n’empêchera pas la situation de survenir à nouveau à l’avenir, avec un autre logiciel.
Et c’est un risque qui ne doit pas être ignoré. Et puisqu’il n’y a pas de méthode miracle pour sécuriser les terminaux Android obsolètes, il est peut-être temps pour les entreprises d’introduire leurs politiques de gestion de fin de vie pour les appareils BYOD sous Android et iOS. Par exemple, les organisations peuvent décider que dès qu’une version d’OS a été dépassée par deux autres, les employés ont 6 mois pour mettre à niveau leur terminal ou perdre l’accès au réseau de l’entreprise.
Cela conduira sûrement à des politiques de BYOD plus exigeantes que celles auxquelles sont aujourd’hui habitué les employés. Et à détourner ces derniers des appareils Android pour lesquels une mise à jour majeure est proposée tous les six à neuf mois. Mais cela offrirait tout de même un équilibre pertinent entre liberté de choix et impératif de sécurité pour l’environnement de l’entreprise. De quoi aussi réduire l’hétérogénéité de l’écosystème et simplifier administration, supervision et gestion des correctifs.
Si les ressources de l’entreprise le permettent, il peut-être plus économique de proposer des aides au renouvellement des anciens appareils, pour s’assurer que les matériels et logiciels restent à jour, que de déployer une solution de gestion des terminaux mobiles pour aider à contenir les risques induits par des logiciels vulnérables.
Le modèle de COPE peut également s’avérer adapté aux organisations dont les données sensibles sont régulièrement utilisées à partir de terminaux mobiles. Cela pourrait se traduire par la fourniture de terminaux Samsung Knox ou le déploiement d’une solution d’EMM intégrant des mécanismes de conteneurisation.
Sécuriser les appareils est importants, mais sécuriser les données est critique. La sensibilisation des utilisateurs finaux aux menaces, ainsi que des politiques de BYOD et de fin de vie des terminaux, sont essentiels pour assurer la sécurité des données d’entreprise dans les environnements modernes. Les administrateurs réseau devraient également intégrer les appareils mobiles dans le périmètre des exercices de test d’intrusion pour prendre toute la mesure des risques induits par ces terminaux et comprendre comment les contenir.